基于异常的入侵检测系统检测方法研究与实现.pptVIP

LOGO 基于异常的入侵检测系统检测方法研究与实现 系统整体示意图 * 检测方法阐述——指导原则 异常是不可知的，正常状态则相对稳定 * 研究目标：描述网络的正常轮廓，确定正常与异常间的分界阈值。 检测方法阐述——思路 网络状态：关键网络特征值的数理规律 特征值 ：随机变量 “异常”：“随机变量的小概率取值” * 思路： 为特征变量寻找到近似符合的概率密度分布 检测方法阐述——正态分布 网络中的数据是海量的 统计量在大样本时渐进服从正态分布，生产与科学实验中很多随机变量的概率分布都可以近似地用正态分布来描述 通过对CERNET大连地区出口负载统计图的观察进行验证 * 检测方法阐述 —— 3σ原理 3σ原理 正态变量的取值绝大部分落在μ±3σ的区间之内，比例约为99.74%。即以3σ为半径的区间之外的概率还不足0.3%，几乎可以以零计。 这样小的概率可以看做异常。 * 检测方法阐述 —— 提高精度 异常检测在用户行为相对稳定的网络中较为有效实际网络不可能一直处于绝对稳定的状态中，例如每天午夜时段的数据特征与中午是不同的。 * 解决方法：将不同时段的数据分别处理 时段的划分可以根据网络中的用户行为划分，如上班时间，休息时间，下班时间等 。也可以由实际网络的管理员根据经验得出。 分时机制 检测方法阐述 —— 提高精度 为